Los investigadores de Check Point han descubierto múltiples vulnerabilidades de seguridad en Fortnite, un juego de batalla en línea muy popular, uno de los cuales podría haber permitido a los atacantes remotos tomar las cuentas de los jugadores por completo simplemente engañando a los usuarios para que hagan clic en un enlace insospechado.
Las fallas informadas de Fortnite incluyen una inyección de SQL, un error de secuencias de comandos entre sitios (XSS), un problema de omisión de firewall de la aplicación web y, lo más importante, una vulnerabilidad de OAuth en la toma de control de la cuenta.
La adquisición completa de la cuenta podría ser una pesadilla, especialmente para los jugadores de un juego en línea tan popular que han jugado 80 millones de usuarios en todo el mundo, y cuando una buena cuenta Fortnite se ha vendido en eBay por más de $ 50,000.
El juego Fortnite permite a sus jugadores iniciar sesión en sus cuentas utilizando proveedores de inicio de sesión único (SSO) de terceros, como las cuentas de Facebook, Google, Xbox y PlayStation.
Según los investigadores, la combinación de fallas de secuencias de comandos entre sitios (XSS) y un problema de redireccionamiento malintencionado en los subdominios de Epic Games permitieron a los atacantes robar el token de autenticación de los usuarios simplemente engañándolos para que hagan clic en un enlace web especialmente diseñado.
Una vez comprometido, un atacante puede acceder a la información personal de los jugadores, comprar monedas virtuales en el juego y comprar equipos de juego que luego serían transferidos a una cuenta separada controlada por el atacante y revendida.
Acá hay un video explicativo de como el atacante puede llegar a robar el login de la cuenta objetivo
Además de esto, los investigadores también pudieron omitir el sistema de firewall de aplicaciones web BIG-IP Application Security Manager (ASM) utilizado por la infraestructura Fortnite para ejecutar con éxito el ataque de scripts entre sitios contra el proceso de inicio de sesión del usuario.
Los investigadores de Check Point notificaron al desarrollador de Epic Games las vulnerabilidades de Fortnite que la compañía reparó a mediados de diciembre.
Tanto Check Point como Epic Games recomiendan a todos los usuarios de Fortnite que permanezcan atentos mientras intercambian información digitalmente y cuestionan la legitimidad de los enlaces a la información disponible en el Foro de usuarios y otros sitios web de Fortnite.
Para evitar que sus cuentas sean secuestradas, también se recomienda a los jugadores que habiliten la autenticación de dos factores (2FA), lo que les pide a los usuarios que ingresen un código de seguridad enviado a su correo electrónico al iniciar sesión en el juego Fortnite.
